- Actualités
- >cybersécurité
Kinsing: Exploitation de la vulnérabilité d’Apache ActiveMQ pour déployer des rootkits Linux
- , Publié le 22 novembre 2023
- , à12 h 11 min
Les acteurs de la menace Kinsing exploitent activement une faille de sécurité critique dans les serveurs vulnérables Apache ActiveMQ pour infecter les systèmes Linux avec des mineurs de crypto-monnaie et des rootkits.
« Une fois que Kinsing infecte un système, il déploie un script de minage de crypto-monnaies qui exploite les ressources de l’hôte pour miner des crypto-monnaies comme le bitcoin, ce qui entraîne des dommages importants à l’infrastructure et un impact négatif sur les performances du système », a déclaré Peter Girnus, chercheur en sécurité chez Trend Micro.
Kinsing fait référence à un logiciel malveillant Linux qui a l’habitude de cibler des environnements conteneurisés mal configurés pour le minage de crypto-monnaies, en utilisant souvent des ressources de serveur compromises pour générer des profits illicites pour les acteurs de la menace. Le groupe est également connu pour adapter rapidement ses tactiques afin d’inclure les failles récemment révélées dans les applications web pour pénétrer dans les réseaux cibles et livrer des mineurs de crypto-monnaie. Au début du mois, Aqua a révélé les tentatives de l’acteur de la menace d’exploiter une faille d’escalade des privilèges Linux appelée Looney Tunables pour infiltrer les environnements en nuage.
La dernière campagne comprend l’exploitation de CVE-2023-46604 (CVSS score : 10.0), une vulnérabilité critique activement exploitée dans Apache ActiveMQ qui permet l’exécution de code à distance, ce qui permet à l’adversaire de télécharger et d’installer le logiciel malveillant Kinsing. Il récupère ensuite des charges utiles supplémentaires à partir d’un domaine contrôlé par l’acteur, tout en prenant des mesures pour mettre fin aux mineurs de crypto-monnaie concurrents déjà en cours d’exécution sur le système infecté.
« Kinsing redouble de persistance et de compromission en chargeant son rootkit dans le fichier /etc/ld.so.preload, ce qui achève de compromettre l’ensemble du système », a déclaré M. Girnus. À la lumière de l’exploitation continue de la faille, il est recommandé aux organisations utilisant les versions affectées d’Apache ActiveMQ de mettre à jour vers une version corrigée dès que possible afin d’atténuer les menaces potentielles.
